Spirng Security OAuth介绍

最新推荐文章于 2024-08-27 15:36:46 发布
最新推荐文章于 2024-08-27 15:36:46 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: JAVA

如果想要深入了解Spring Security OAuth的话,建议阅读官方提供的示例代码:

以下内容大部分翻译自:http://projects.spring.io/spring-security-oauth/docs/oauth2.html

OAuth 2.0 Provider

OAuth 2.0 Provider实现

对于OAuth 2.0 Provider实际可以分为两个部分:授权服务(Authorization Service)和资源服务(Resource Service),有的时候这两部分服务可以在一个应用中,也可以部署再不同应用中,并且允许多个资源服务共享同一个授权服务。获取Token的请求,被Spring MVC controller endpotint处理;而获取资源的请求被标准的Spring Security request filter处理。要实现一个OAuth 2.0 授权服务器,Spring Security filter chain要求以下endpoints:

  • AuthorizationEndpoint用于响应授权请求,默认URL为/oauth/authorize
  • TokenEndpoint用于响应获取Token的请求,默认URL为/oauth/token

OAuth 2.0 Resource Server 要求实现以下filter:

  • OAuth2AuthenticationProcessingFilter通过已授权的access token,加载授权信息

授权服务器配置(Authorization Server Configuration)

主要进行3项配置:

  • ClientDetailsServiceConfigurer:配置客户端信息服务
  • AuthorizationServerSecurityConfigurer:配置token相关endpoint的设置
  • AuthorizationServerEndpointsConfigurer:配置授权和token的endpoint,以及token service

配置客户端信息

ClientDetailsServiceConfigurer用于配置一个内存实现或JDBC实现的client details service.其包含的一些重要信息包括:

  • clientId: 必需,客户端ID
  • secret : 对于信任的客户端必需
  • scope : 客户端允许访问资源的范围,如果该字段未定义或为空,则客户端访问范围不受限制。
  • authorizedGrantTypes: 指定客户端支持的grant_type
  • authorities: 客户端所拥有的Spring Security的权限值

管理Tokens

AuthorizationServerTokenServices用于定义管理OAuth 2.0 Token的相关操作。有几点需要注意:

  • 当access token被创建的时候,授权信息必须被储存起来。以便于Resource Server接受access token的时候,能够获取到相应的授权信息。
  • access token用于加载创建该token的授权信息。

当你考虑创建自己的AuthorizationServerTokenServices时,可以考虑使用DefaultTokenServices,它包含许多策略用于生成和管理token,但它不包含持久化token的实现。持久化token的实现依托于一个TokenStore,默认的是一个内存中的实现版本,同时包含其他的实现:

  • 默认的InMemoryTokenStore对于单台服务器的实现,是一个很好的选择
  • JdbcTokenStore是一个JDBC版本的实现。要使用JdbcTokenStore,你需要引用spring-jdbc库。
  • JSON Web Token (JWT)版本的实现,将所有的信息编码到token本身之中。这个实现的夜歌弊端在于,你不能轻易的使token失效。所以其一般配以较短的失效时间,而失效时再refresh token中处理。另一个弊端是,如果存储了过多的用户信息在token中,该token可能变得十分庞大。从这个意义上来说JwtTokenStore并不是一个真正的Store,因为其并不持久化任何数据,但其处理了token与授权信息之间的转换工作。

JWT Tokens

要使用JWT tokens,你需要在授权服务器有一个JwtTokenStore实现,其依赖于JwtAccessTokenConverter,同时在资源服务器上,需要有一个与授权服务器相同的JwtAccessTokenConverter实现,来进行转换。token默认需要进行签名,这样资源服务器要有一个相应的验签秘钥,来进行验签工作。public key通过授权服务器的/oauth/token_key进行暴露,该URL默认拒绝一切来源的访问。你可以通过标准的SpEL表达之注入AuthorizationServerSecurityConfigurer来打开该URL的访问。

要使用JwtTokenStore,需要引入库spring-security-jwt

Grant Types

可通过AuthorizationServerEndpointsConfigurer配置AuthorizationEndpoint支持的grant type。以下设置会影响grant type:

  • authenticationManager: 注入一个AuthenticationManager后,password grant将打开
  • userDetailsService:如果注入了一个UserDetailsService,refresh token grant将对用户状态进行校验,以保证用户处于激活状态
  • authorizationCodeServices
  • implicitGrantService
  • tokenGranter

强制使用SSL

对于/authorize端点,你可以当成普通的程序来进行保护;对于/token端点,在AuthorizationServerEndpointsConfigurer中可设置sslOnly()来强制使用SSL

个性化UI

授权服务器的大部分请求都是在机器之间进行,需要进行UI定制的主要包含两个:

  • 对于 /oauth/confirm_access 的GET请求
  • 对于 /oauth/error 的HTML响应

在Spring Security OAuth中,提供了这两个页面的简单实现,但是对于实际应用,基本都需要定制其UI以及页面内容。

修改这两个页面只需要提供标准的Spring MVC controller,并将@RequestMappings指向相应的URL。Spring Security OAuth的默认实现将会有较低的优先级截取相应的请求,从而达到个性化相应页面的效果。

/oauth/confirm_access的请求中,你将获得一个AuthorizationRequest,其包含了所有相关数据(默认实现在WhitelabelApprovalEndpoint中,可以参考其进行修改)。你可以对请求进行任何处理,处理完成后,需要将处理结果POST至/oauth/authorize

资源服务器配置(Resource Server Configuration)

你可以通过@Configuration中的@EnableResourceServer,来使用Spring OAuth保护资源服务器上的资源。具体的配置可使用ResourceServerConfigurer完成,其可指定以下配置:

  • tokenServices: 指定tokenService(ResourceServerTokenServices的实例)
  • resourceId: 资源的Id号(可选,但是建议使用,提供的话,授权服务器会进行校验)
  • 资源服务器的其他可拓展节点(例如tokenExtractor可从请求中抽取出token)
  • 获取保护资源的规则
  • 其他在Spring Security的HttpSecurity中允许的配置

@EnableResourceServer将自动添加一个OAuth2AuthenticationProcessingFilter到Spring Security 的Filter Chain。

OAuth 2.0 Client

Protected Resource Configuration

被OAuth保护的资源可以被类型为OAuth2ProtectedResourceDetails的bean定义。其包含一下性质:

  • id: 资源id,其仅仅在客户端被使用,用于标记资源
  • clientId:OAuth client id,用于OAuth provider区分客户端
  • clientSecret: 与资源相关联
  • accessTokenUri: 获取access token的uri
  • scope:客户端获取资源的范围
  • clientAuthenticationScheme: 客户端访问token端点的scheme类型,建议值有http_basic,form,默认为http_basic

Client Configuration

对于OAuth 2.0客户端,只需要使用@EnableOAuth2Client即可,其会完成两个事情:

  • 创建一个filter bean(ID为oauth2ClientContextFilter)来存储当前的请求和上下文。当需要获得授权时,其将请求重定向到授权URI。
  • 在请求中创建一个AccessTokenRequest对象,用户存储授权码等相关内容。

获取被保护的资源

建议使用RestTemplate来获取被保护的资源

mingyu1016
关注
专栏目录
Spring Security学习之OAuth介绍
qq_38586378的博客
09-10 765
OAuth概念 OAuth:解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据及基本信息的难题 Open Authorization开放授权,是一种资源提供商用于授权第三方应用代表资源所有者获得有限访问权限的授权机制。由于整个授权过程中,第三方应用无需触及用户的密码即可取得部分资源的使用权限,所有OAuth是安全开放的。 例如登录CSDN的时候支持QQ、新浪微博、百度、开源中国和GitHub: 在选择QQ作为第三方登录的时候,会跳转到QQ站点(避免在CSD...
基于spring-security-oauth2实现oauth2(持续更新)
热门推荐
weixin_34080571的博客
05-31 10万+
为什么80%的码农都做不了架构师?>>> ...
SpringSecurityOauth2(四种模式)
qq_45597391的博客
06-19 1万+
Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。
登录校验组件 Spring Security OAuth2 详解
最新发布
m0_48038376的博客
08-27 885
OAuth 2.0:是一个开放标准的授权协议,允许第三方应用程序在用户的许可下访问他们在其他服务上的资源和数据,而无需直接共享用户的用户名和密码。OAuth 2.0 关注于简化客户端开发、提高安全性,并支持多种应用场景。:是一个全面的安全框架,用于在Java应用程序中提供身份验证和授权机制。它支持多种身份验证技术,包括表单登录、HTTP Basic认证、LDAP等。
Spring Security——OAuth2.0
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
Spring Security实战(九)—— 使用Spring Security OAuth实现OAuth对接
weixin_49561506的博客
04-25 2541
介绍OAuth2.0,并使用Spring Security OAuth实现GitHub快捷登录
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 概述 Spring Security Oauth2.0 是一个基于 Spring ...
Spring Security OAuth过期的解决方法
09-07
Spring Security OAuth过期问题的解决方法 在Spring Security OAuth中,过期问题主要涉及OAuth2认证和授权流程的管理。OAuth2是一个开放标准,用于允许应用程序代表用户获取访问权限到受保护的资源,如API。随着...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例代码,通过示例代码详细介绍了如何实现用户单一终端的唯一性登录。 OAuth2 是一种身份验证协议,通过将客户端、资源服务器和授权服务器分离,实现了灵活...
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
在实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
spring security oauth2整合
07-27
spring security oauth2整合的详细说明文档,demo下载地址在文档中已经给出。其中demo中包含了详细的代码注释。
Spring-Security(二)OAuth2认证详解(持续更新)
lbmydream的博客
06-06 1717
深入了解Spring Oauth2.0 认证流程及自定义扩展
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 4938
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
springsecurity oauth2.0 认证与授权基础知识1
健康平安的活着的专栏
07-28 523
一 认证 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 简而言之:认证就是判断用户的身份的合法性,一般特指用户登录时身份的判断。 二 授权 授权: 授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,
SpringSecurity+OAuth2.0 搭建认证中心和资源服务中心
qq_43649937的博客
01-21 5656
OAuth2.0 Springsecurity
Spring SecurityOAuth2:构建安全Web应用的强大组合
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
03-11 3万+
通过深入学习并实践Spring SecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
开发笔记 | 认证授权+Spring Security+OAuth2快速学习笔记
qq_37630282的博客
07-18 2442
认证授权+Spring Security+OAuth2学习笔记
SpringSecurity整合OAuth2.0
玩转Java
12-10 1万+
springsecurity整合aoth2.0
Spring Security OAuth2授权流程详解
"spring-security-oauth2 是一个基于Spring Security的实现OAuth2协议的开源库,用于构建安全的、授权的服务端和客户端应用。这个库详细介绍OAuth2的四种授权方式:AuthorizationCode,Implicit,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值